六安市供电系统视频监控专用VPN网络设计

摘 要：市级平台宜采用服务器集群的方式实现平台的安全稳定运行，通过交换机来实现平台内服务单元网络的构建，同时，在平台与III/IV内网之间通过架设防火墙与NAT来实现视频监控平台与电力III/IV区内网的安全隔离；在前端接入侧，通过架设协议转换网关，一方面实现了对所有变电站前端设备的接入，另一方面通过该网关起到了对视频监控平台与站端的数据过滤的作用，保证站端系统与本视频监层控平台之间的安全隔离；使用MIS传送视频数据的前端站点需要加防火墙，以保证MIS网络与视频监控专用网络的安全隔离；通过外网接入的外网平台或前端需加设防火墙及纵向加密认证装置，保证电力专网与公共网络的安全隔离。

关键词：供电系统；视频监控；VPN

中图分类号：TP277 文献标识码：A 文章编号：2096-4706（2018）05-0157-02

Design of Dedicated VPN Network for Video Monitoring in

Lu’an Power Supply System

MA Qinghua，LI Jun

（State Grid Anhui Electric Power Company Lu’an Yeji Power Supply Company，Yeji 237431，China）

Abstract：The municipal platform should use the server cluster to realize the safe and stable operation of the platform，and realize the construction of the service unit network in the platform through the switch. At the same time，the security isolation between the video monitoring platform and the power III/IV inner network is realized between the platform and the III/IV inner network to achieve the security isolation between the video monitoring platform and the power III/IV inner network. Through the erection protocol conversion gateway，on the one hand the realization of all substation front-end equipment access，on the other hand，through the gateway to realize the video monitoring platform and the station end of the data filtering function，to ensure the station end system and the video surveillance platform between the security isolation；use MIS to transmit video data front end station It is necessary to add a firewall to ensure the security isolation of the MIS network and the special network for video surveillance. The external network platform or front end of the external network needs to add a firewall and a vertical encryption authentication device to ensure the safe isolation of the power network and the public network.

Keywords：power supply system；video surveillance；VPN

1 网络带宽管理策略

视频监控数据业务承载网络为综合通信数据网或者电力SDH网，采用MPLS VPN技术保证网络的高效性及安全性。对于承载网络的要求如下：

承载网络本身对端到端的视频传送服务质量（QOS）提供保障。网络视频监控系统的QOS实现要求IP承载网络在承载端到端的视音频IP包码流时，做到延迟小、抖动低、丢包率低。其中对网络视频监控系统QOS影响最重要的指标是丢包率。

对于具有较高QOS的业务使用，要求IP承载网络端到端通信的网络延迟、延时抖动、丢包率指标要达到如下要求：（1）丢包率上限为5%；（2）网络延时上限未500ms；（3）时延抖动上限为100ms；（4）视频流畅，无马赛克现象，则网络丢包率不超过3%；（5）图像无明显时延，则网络时延不超过500ms。

业务网络设备应能够对网络的时延、抖动、包错序、丢包等问题采取策略进行恢复和补偿，可调整数据流量，以适应网络带宽的变化。

承载网络端到端通信的网络延迟、延时抖动、丢包率指标要限定在一定范围。承载网络应能够采取一定的策略保障QOS，例如采用专网承载、DiffServ或MPLS策略等。

承载网络和业务系统相互配合，共同保证QOS。承载网络应能将网络的状态报告给业务系统；业务系统应该能够根据承载网络的状态对承载网络进行相应的控制。

2 网络传输安全策略

六安市供电系统视频监控专用视频传输网的网络链路主要是运营商租用的线路，这些线路与运营商网络并不是隔离的，运营商能够保证线路的传输带宽和质量，但不能保障链路的传输安全[1]。因此，为了保障在综合传输网上传输的数据的安全，需要构建六安市供电系统视频监控专网加密传输机制，基于VPN、公钥加密、数字签名等方式，对在视频传输网上传输的数据进行加密和完整性、真实性保护，防止对数据内容的窃取和对数据的篡改、假冒，实现六安市供电系统视频监控专网与运营商网络的隔离。

3 承载网络带宽计算

网络带宽包括：前端设备接入监控中心，监控中心之间级联，用户终端接入监控中心和预留网络带宽四部分。网络带宽计算方法如下：

前端设备接入监控中心的网络带宽不低于允许并发接入的视频路数×单路视频码率；

监控中心之间级联网络带宽不低于并发级联视频路数×单路视频码流；

用户终端接入监控中心的网络带宽不低于并发显示视频路数×单路视频码流；

预留的网络带宽根据联网系统的应用情况确定。

4 防火墙的NAT穿透

NAT（Network Address Translation，网络地址转换）是将IP数据报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能[2]。

在本项目中可以应用NAT穿越技术（NAT Traversal），通过使用这种技术可以彻底解决VoIP应用跨越防火墙和NAT网络的难题。该技术采用了虚拟代理和IP隧道的先进手段，为VoIP应用搭起了一道桥梁。

NAT穿越技术拥有这样的功能，它能够让网络应用程序（如音视频通信程序）主动发现自己位于NAT设备之后，并且会主动获得NAT设备的公网IP，并为自己建立端口映射条目，这些都是NAT后的设备的应用程序自动完成的，也就是说，在NAT穿越技术中，NAT后的设备的应用程序处于主动地位，它已经明确地知道NAT设备要修改它外发的数据包，于是它主动配合NAT设备的操作，主动地建立好映射，这样就会解决很多以前由NAT引起的网络连接问题[3]。

在外网与视频监控MPLS VPN之间需要加NAT设备用于IP地址修改与映射，以便于两网之间进行通信，同时也保证视频监控MPLS VPN网络的安全；在III/IV区网与视频监控MPLS VPN加NAT设备用于IP地址修改与映射以便于2网之间的通信，保证2网之间的安全分离。

5 地址规划与分配

视频监控系统的地址规划和分配以安徽电网通信数据网地址规划为依据，地址规划通过VPN方式接入，全省纵向统一规划，视频监控业务与其他业务之间地址独立规划。视频监控业务为通信数据网应用类型中的业务三。

500kv变电站：每个站点分配64个IP地址的子网，子网掩码为/26。220kv变电站：每个站点分配32个IP地址的子网，子网掩码为/27。110kv和35kv变电站：每个站点分配16个IP地址的子网，子网掩码为/28。根据“十二五”变电站的数量规划，为每个县分配1个B类地市，然后在此基础上进行细分。预留一部分地址，作为这部分地址的补充，分配不够的单位，可以到市公司申请预留地址资源。

带宽分配：单个变电站（营业厅、发电站等）至所属视频监控平台带宽为10M，县局视频监控平台至市局视频监控平台带宽为100M，市局视频监控平台至省公司视频监控平台带宽为100M。

网络安全防范措施：实现电力通信数据网络的横向隔离、纵向认证，保证电力通信数据网络安全稳定地运行。

参考文献：

[1] 朱圣.基于MPLS技术的政府城域网体系结构的设计与探讨 [D].上海：华东师范大学，2008.

[2] 刘向东，李志洁，王德高，等.网络地址转换原理实验的设计与实现 [J].实验科学与技术，2012，10（4）：106-109+164.

[3] 孙秀娟.浅谈网络地址转换（NAT）技术 [J].北京工业职业技术学院学报，2006（1）：53-56.

作者简介：马清华（1976-），男，安徽六安人，助理工程师，本科。研究方向：电力技术。